实时工控系统网络安全防御重点

实时工控系统网络安全防御重点

冯朝辉，沈慧婷，张春辉

中国卫通集团股份有限公司，北京 100190

摘要：工业控制系统由于其不同于其他业务系统的特殊要求，在网络安全防护方面具有区别于通用手段的特定需求。随着网络安全相关制度及技术手段的完善，理清工业控制系统的网络安全需求就显得非常重要。因此本文讨论了一般业务系统和高实时工业控制系统在网络安全防护方面的异同点，梳理高实时工业控制系统的重点网络防御方式，进行了典型设计，提出了具体解决方案。

关键词：工业控制系统；网络安全防护

The key points of real-time industrial control system network security defense

Feng Zhaohui, Shen Huiting，Zhang Chunhui

（China Satellite Communications Co.,Ltd, Beijing 100190）

Abstract: Due to its special requirements different from other business systems, industrial control systems have specific requirements that are different from general methods in terms of network security protection. With the improvement of network security related systems and technical means, it is very important to clarify the network security requirements of industrial control systems. Therefore, this article discusses the similarities and differences in network security protection between general business systems and high-real-time industrial control systems, sorts out the key network defense methods of high-real-time industrial control systems, carries out typical designs, and proposes specific solutions.

Key words: Industrial Control System; Network security protection

随着各行业信息化水平的迅速提升，国内外网络安全局势日趋恶化，来自网络安全层面的威胁已经成为任何信息系统不可忽视的问题。工业控制系统（以下简称工控系统）一般为各单位、企业业务生产系统，是业务生产的关键。由于其系统重要性，尤其要注意网络安全问题。针对工控系统的特殊性，指定匹配的网络安全防御策略能够大大提升系统防护能力。

1. 当前网络环境

1.1 信息化的普及

自上世纪以来，信息化随着各种技术的成熟逐步席卷全球，在人类社会的发展上逐步成为主流，带来了巨大的社会利好。同时信息化发展作为现代社会的运作基础，已经潜藏在各行各业中，体现在各种形式数据的提取、抽象、交互和处理中。

近年来国内外提出的智能化发展以信息化为基础，无疑加速了社会各领域信息化的普及。今日，信息化已经将整个人类社会紧密结合，形成“万物互联”的庞大局面。

1. 1. 网络安全形势

在信息化浪潮普及的同时，“万物互联”的美好现实背后也有一定的风险隐患。伴随网络技术一同诞生的安全问题同样日渐壮大。网络安全问题逐步成为任何信息化设备、信息系统不得不考虑的重要因素。

随着网络技术不断发展，越来越多的网络安全事件发生，诸如客户数据泄露、企业组织遭遇勒索病毒、政府网站被黑客入侵、电力或通信大量服务遭遇攻击瘫痪等事件屡见不鲜，甚至于2010年发现“震网”病毒导致伊朗核技术止步不前，网络安全真正成为世界面临的重大威胁。

在这个大背景下，国内网络安全形势愈发严峻，随着国际形势不断变化，国内各军政企事业单位甚至个人承受着越来越多的网络攻击，其中不乏有组织的大面积攻击行为。

1. 3. 国内网络安全政策

国内近年来不断强调网络安全的重要性，以多种手段提升各行业网络安全形势。相继出台了《网络安全法》《密码法》等多部法律法规，配合“信息系统等级保护”等要求，一步步构建起我国的网络安全框架。

2. 一般的网络攻击、防御重点

1. 1. 攻击流程及手段

目前的网络环境游荡着许多网络攻击者，他们没有必须遵循的流程或手段，很难进行针对性的防御或者反制措施。一般来说，网络攻击流程如下所示。

1. 1. 1. 攻击前准备

网络攻击者在进行攻击前的准备阶段，主要是明确攻击对象，尽可能搜集攻击对象的所有信息，从中获取可能的突破点，准备攻击工具，并设置社会工程学手段，进行初步的试探攻击行为。

1. 1. 2. 入侵控制

在准备工作基本完成时，网络攻击者针开展实际的入侵，主要针对在准备阶段收集到的信息采用相应的入侵手段，包括使用漏洞扫描工具、木马、病毒甚至零日漏洞以达到控制目标系统相应设备的目的，在突破边界后进行设备提权，获取设备高级权限，进入系统内部。

1. 1. 3. 渗透扩展

网络攻击者在进入系统后会适当潜伏，在不被发现的情况下尽可能控制更多的系统设备、获取更高的权限级别，最主要是在这一阶段摸清系统结构及重要数据所在位置及攻击价值。

1. 1. 4. 展开攻击

完成渗透扩展后，网络攻击者会在适当的时间进行攻击，使用高级权限或暴力手段获取重要数据、破坏系统的正常运行，达到其既定目标。

1. 1. 5. 清理痕迹

最后在达成目标后，有的网络攻击者会进行收尾工作，包括清除相关攻击痕迹、传输记录，防止自身暴露，或恢复系统状态、替换相关数据等。

1. 2. 防御流程及手段

不同于上述网络攻击行为，网络安全防御则属于全天候工作状态，因此在日常运行、设备使用上也有一整套流程。

1. 1. 1. 梳理系统状态

系统运行者需要时刻明确自己的系统边界及所用防护手段，形成系统设备台账，做好及时的记录更新。不止针对自己的业务系统，有系统接口的供应商、合作方均需要明确系统边界，设置相应防御手段。

1. 1. 2. 日常巡视

日常巡视检查是系统运行者最有效的防御手段。检查的目的主要有两个，一是确认系统当前状态正常，与基线状态保持一致。二是巡视各业务系统、安全设备，查看是否有入侵痕迹或异常事件，在前期设置好适合的网络安全防护策略后，一般可以防御绝大部分的网络攻击行为，在诸如入侵检测系统、蜜罐系统、态势感知系统等安全设备上可以查看并阻断到相应网络攻击行为并予以反制。

1. 1. 3. 系统维护

系统维护是系统运行者的基本工作，保持系统正常运行，并定期更新相应升级补丁、病毒特征库，动态维护系统边界，是进行系统防御的关键行为。

1. 1. 4. 演练及预案更新

系统运行者在长期运行过程中仍需要进行系统检测，使用相应扫描或攻击手段进行网络安全防护演练，及时查漏补缺，制定合理的网络安全事件预案并及时更新。

3. 工控系统特殊性

上述已经描述了针对通用性信息系统的网络攻击及防御行为，不同的信息系统由于其特殊作用具有不同要求，针对的网络攻击及防御也就有所不同。

工控系统不同于一般业务系统，根源在于它的服务对象是相应的设备系统，而不是用户。基于此，工控系统具有以下特性。

3. 1. 工控系统的重要性

工控系统一般作为设备上位机使用，是操纵相应设备的“眼睛”和“手臂”，对于相应设备有至关重要的作用。一旦工控系统遭到重大破坏，在短时间内很难重新建立与相应设备的连接，即相关设备会出现短暂的“失联”状态，甚至造成不可逆的后果。

3. 2. 工控系统的实时性

不同于用户访问的时间有限性，一般的工控系统都是7天*24小时全天候工作，对于系统的实时性具有很高要求，这也导致工控系统不存在一个业务“相对较少”的时间段来进行系统升级或其他操作，这就对工控系统在建设初期的稳定性提出很高的要求。

3. 3. 工控系统的封闭性

不同于用户系统的广泛连通，一般工控系统主要针对相应设备，作用范围有限，相对封闭，只需要暴露部分接口即可正常工作，实时上，根据需要尽量缩小或整合系统边界是网络安全防护的原则性要求。

4. 工控系统重要领域及防御重点

基于工控系统上述特殊性描述，对比一般的网络攻击、防御重点，工控系统会有以下重点调整。

1. 1. 工控系统边界划分

工控系统网络以封闭性原则为主，划分明确的网络边界。针对有确定目标的工控系统，限制其网络边界在可控范围内，其他部分可以使用物理隔离手段保证边界安全。

针对少量的网络边界，在接口处需要部署专业的网络安全防护设备，一般包括防火墙、入侵检测系统、入侵防御系统、流量分析设备及态势感知系统等。

1. 2. 工控系统纵深防御

在工控系统内部，需要设置多层次的网络防护边界，不同网络设备、安全设备、服务器设备之间需要设置由外向内的安全策略，明确划分不同的安全区域，实现一定程度上的数据隔离，防止网络攻击者在攻破外层后直接进入核心内网。

1. 3. 系统稳定度优先

由于工控系统的业务连续性，很难有可以调节的时间窗口进行系统升级，所以需要在系统建设初期就设计好系统安全防护策略，尽量避免进行大版本的直接升级迭代，或考虑具备在线性的持续安全升级能力。根据公开漏洞补丁的持续发布，周期性的进行系统漏洞扫描，及时进行系统设备的补丁更新，正式漏洞修复前，需要在测试系统上进行反复验证，确认不会影响系统正常运行后再进行操作。

对于系统运营者，工控系统的日常巡视尤为重要，需要经常性确保系统状态正常，全天候响应异常事件。

同时能结合态势监控系统，对工控系统进行统一监控，出现异常状态时，能对系统运营者进行实时告警。

1. 4. 避免用户性安全操作

工控系统不针对用户工作，系统运行者需要避免一些针对单个用户的常规安全操作，诸如不同于用户有限的登录时间，工控系统需要全天候运行，保证业务可用，就不能进行系统超时自动退出等设置。

1. 5. 构建零信任体系

基于工控系统的强稳定性需求，同时结合工控操作指令的确定性，通过主机监控及网络信号异常检测等方式对工控指令发送进行明确限制，以避免因误操作、攻击控制操作导致的问题发生。

5. 工控系统的典型安全设计

工控系统应以相应设备为核心搭建，在设备网络下设置多个主备上位机，并设置网络设备、安全设备主备机，提高系统冗余度。划分少量边界接口，在接口处搭建网络出口区，必要时设置专门的网络交换区，部署专用网络设备及安全设备。搭建区别于业务系统的安全域，在安全域内部署相应安全设备，实现对全系统的安全监视。典型工控系统简化图例如图1所示。

图1 典型工控系统简化图例

6. 未来发展趋势

工控系统是信息化建设的基础信息系统，随着网络安全技术的不断升级，工控系统的网络安全防护手势必随之升级换代。目前可预见的发展趋势如下。

1. 1. 强化权限控制

以工控系统为整体单位，强化各设备、各子系统的统一控制。改变当前各设备互不相通的管理机制，设置信息系统级的权限控制中心，集中管理所有设备及业务系统，做到权限账户统一化、设备管理集中化、补丁升级便捷化，提升系统使用效率及可靠性。

1. 2. 深化动态感知系统

建立系统动态感知中心，集中进行全系统网络安全监测，统一调度系统级安全资源，实时显示系统当前安全状态，大大简化日常巡视流程。

1. 3. 调整适应性策略

工控系统不同于业务系统，随着网络安全防护体系的不断完善，势必将针对不同信息细化分类，分别提出匹配的网络安全防护体系要求。

7. 总结

由于面向对象的不同，工控系统的网络安全防护要求及防御重点不同于一般的信息系统，主要体现在工控系统的强重要性、高实时性和相对封闭性。这些特性导致工控系统的网络安全防御重点落在了划分少量的网络边界、设置多层次的网络安全层级、优先保证系统稳定性和避免不适当的操作行为等方面。

总之，实时工控系统是信息系统的一种，既继承着信息系统网络安全防护的总体要求，又具有自身特殊的具体要求，要根据实际情况，体现总体要求和具体要求的统一，才能真正做好工控系统的网络安全防护工作。

参考文献

[1]余妍霓,邓亚男,谢鑫.浅谈黑客常用攻击手段及安全防护[J].科技与创新,2021(04):74-75+77.

[2]李永毅.工业控制系统网络安全防护建设探讨[J].通讯世界,2020,27(03):84-85.